Недавно веб-сайты, имитирующие приложения для обмена мгновенными сообщениями, такие как Telegram и WhatsApp, использовались для распространения вредоносных программ, заражающих системы Android и Windows. Это вредоносное ПО известно как вредоносное ПО для обрезки криптовалюты, которое направлено на кражу криптовалютных средств жертв, причем некоторые из них специально нацелены на криптовалютные кошельки.
Исследователи Лукаш Штефанко и Петер Стричек из словацкой компании по кибербезопасности ESET заявили в своем последнем аналитическом отчете: «Все эти вредоносные приложения нацелены на криптовалютные средства жертв, а некоторые нацелены на криптовалютные кошельки».
Хотя первый экземпляр вредоносного ПО для работы с криптовалютой в Google Play Store можно проследить до 2019 года, эта разработка знаменует собой первый случай, когда вредоносное ПО для работы с криптовалютой на базе Android было встроено в приложения для обмена мгновенными сообщениями.
Кроме того, некоторые из этих приложений также используют технологию оптического распознавания символов (OCR) для идентификации текста со скриншотов, хранящихся на зараженных устройствах, что также является первым среди вредоносных программ для Android.
Цепочка атак начинается с непреднамеренного нажатия на мошенническую рекламу в результатах поиска Google, что приводит к сотням подозрительных каналов YouTube, в конечном итоге перенаправляя пользователей на веб-сайты, подобные Telegram и WhatsApp.
Что делает эту последнюю партию вредоносных программ для стрижки криптовалюты новой, так это ее способность перехватывать журналы чатов жертв и заменять любые отправленные или полученные адреса криптовалютных кошельков теми, которые контролируются злоумышленниками.
Другой кластер вредоносного ПО для обрезки криптовалюты использует ML Kit, законный плагин машинного обучения для Android, для поиска и кражи начальных фраз, что может привести к опустошению кошельков.
Третий кластер вредоносных программ направлен на мониторинг разговоров в Telegram, связанных с определенными ключевыми словами на китайском языке, связанными с криптовалютой. Если какие-либо релевантные сообщения найдены, он передает все сообщение, имя пользователя, имя группы или канала и другие данные на удаленные серверы.
Наконец, набор клипперов для Android имеет больше функций, включая переключение адресов кошельков, сбор информации об устройстве и данные Telegram, такие как сообщения и контакты.
Ниже приведены имена этих вредоносных программных пакетов APK:
org.telegram.messenger
org.telegram.messenger.web2
org.tgplus.messenger
io.busniess.va.whatsapp
com.whatsapp
ESET также обнаружила два кластера на базе Windows, один из которых предназначен для обмена адресами кошельков, а другой — для удаленного доступа.
